2019年2月23日(土)に、TOC五反田メッセで開催された「JAWS DAYS 2019」に参加してきましたので、各セッションの簡単なレポートをご紹介します。

また、ランチサポーターとして、ランチセッションで登壇した「AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC!」についても簡単にご紹介します。

 

目次:

1. 会場の様子
2. ランチセッション「AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC!」
3. 参加レポート(セキュリティ全般、 SaaSグローバル展開、 AWS環境のWAF)
4. おわりに

 

1. 会場の様子

 

ランチサポーターにちゃんとCSCのロゴがありますね

 

CircleCIさんのブースで「完全に理解した」Tシャツを頂きました!

写真に写っているどら焼きは会場で無料で配布されていたJAWSどら焼きです!

 

ランチワゴンです!

今回は食に力をいれているということもあり、充実していました!

しかも、ランチチケットの名前がALB!!!

(Awsome Lunch Boxの略。Appplication Load balancerをもじっています)

 

2. ランチセッション「AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC!」

セッションの様子。おかげさまで大盛況でした!!(登壇者:取締役CTO 渡辺洋司)

 

普段、WafCharmをお客様にご紹介する中で、AWS WAFの話だけではなく、AWS WAFのマネージドルールに話が及ぶ事も多々あります。

マネージドルールってたくさんあるけど、どれがいいの?、英語サポートってどこまでやってくれるの?という質問をよく頂きます。

あるお客様の例だと、英語サポートがどこまでやってくれるか分からないから、何か誤検知が発生したら、IPアドレスベースのホワイトリストルールで対応するだけという話もお聞きした事があります。

 

また、弊社にて、2019年2月20日にちょうどマネージドルールを販売開始したということもあり、マネージドルールについては仕組みも中身もCSCにお任せください!ということで、こんなタイトルのセッションとなりました!

AWS Marketplaceの製品URL:https://aws.amazon.com/marketplace/pp/B07L8P81B3

 

ポイントをお伝えすると、汎用的に様々な攻撃から守れるルールはOWASPと名前の付く$20〜$30のルールです。

その中での比較ポイントとしては、コストと防御力に着目してくださいという内容です。

詳しくは下記の登壇資料をご確認ください!

 

 

3. 参加レポート(セキュリティ全般、 SaaSグローバル展開、 AWS環境のWAF)

 

3.1 [初心者向け]AWS環境のセキュリティ運用(設計)をはじめてみよう(クラスメソッド株式会社 臼田 佳祐さま)

クラスメソッドさんのAWSにおけるセキュリティ全般のセッションです!

初心者にも分かりやすくポイントを絞っていましたので、ぜひ一読してみてください。

https://dev.classmethod.jp/cloud/aws/jaws-days-2019-a-security/

 

 

3.2 SaaSを海外展開するために役立つインフラTips(Instoll株式会社 友田 敬人さま)

CSCも海外展開を開始しましたので、他社SaaSではどのような苦労があるのか強い関心があり、本セッションに参加しました。

やはり壁は同じで、プロダクト・法務・税務でした!

実はシステムや言語の壁というのはそんなに高くなく、法務と税務の悩みは非常に共感できました。

 

以下はポイントです。

・技術面、インフラ面はグローバル展開は簡単
・法務と税務で越境がより大変になってきている
・価格調整はビッグマック指数を参考にしている(BtoCの場合)
・196ヶ国 グローバルな弁護士費用・会計士費用を算出すると数億円規模が必要(大手以外は海外展開先を限定せざるを得ない)
・エイリアン企業でも最小限のコストで、最大限のマーケットにリーチする方法は? EUの一部しかない
・GDPRなど壁はあるが、EUは単一市場で、5億8千万人にリーチできるメリットがある

 

ということで様々な条件フィルタを通した結果、グローバル展開先は下記の市場となったそうです!

 

海外展開に興味がある方はこちらの登壇資料をぜひご覧ください!

 

 

3.3 エンタープライズのオンプレWAFをAWSに移行したらこうなった話(株式会社QUICK 小出 淳二さま)

WAFの話ということでセッションに参加しましたので、ポイントを絞ってレポートします!

▼AWS上でのWAF構成

・ALBでBIG-IP VE ASM(WAF)をサンドイッチする構成を取る。
[CSC補足コメント]
– BIG-IP VE ASMは仮想アプライアンス型と言われるWAFで、EC2上で動作します。
– EC2のスペックは捌きたいトラフィック量に応じて設計する必要があります。

▼何でBIG-IP VE ASMなの?
・エンタープライズは誤検知に非常に厳しい。
・BIG-IP VE ASMはルール毎など細かく制御できる。

▼BIG-IP VE ASMのイマイチなところ
・ASMはいい製品だけどコストが高い
・導入が大変、自前で運用するのが大変
・メモリリークのバグが多い
・ソフトウェアEOSDとの戦い
・結局AWSにいってもオンプレと変わらない感が強い

▼AWS WAFは?
・リクエストボディがログに記録されない。誤検知対応が難しい。
・そのため特に誤検知に厳しいエンタープライズ向けは難しい。でも結構いいところまで来ている。

 

[CSCコメント]

最後のリクエストボディがログに記録されないという点は、WafCharmのお客様でもよくお聞きするポイントです。
直接見る方法は、Lambda@Edgeを使ったりしますがこれもCloudfront環境でのみです。
そのため、ルールの条件を絞り込んで調査をしたり、時には画像ファイルをバイナリ解析したりといった具合で時間をかけて実施しているのが現状であります。

 

 

4. おわりに

弊社のランチセッションや企業ブースに訪れて頂いた方ありがとうございました!
ぜひ、WafCharmやCSCマネージドルールをご利用してみてください!!

今後、WafCharmにてCSCマネージドルールに関する新機能をリリース予定ですので、今後ともWafCharmをよろしくお願いします。